JD Sports数据泄露事件的根源分析

2023 年 1 月,英国运动服饰零售商 JD Sports 遭遇网络攻击,导致 1000 万客户的个人和财务信息可能被黑客窃取。泄露的数据包括姓名、地址、电子邮件地址、电话号码、订单历史记录和部分支付卡信息。JD Sports 已向受影响客户发出通知,并建议他们更改密码并密切关注其财务状况。公司还聘请了网络安全专家来调查违规行为并加强其系统。

很多人以为遭遇数据泄露事件没有什么大不了,认为只要重建一下系统或者向用户道个歉然后让用户重置一下密码就可以了。对此,昆明亭长朗然科技有限公司网络安全顾问董志军称:对于垄断机构来讲,这种说法可能有些道理。但是对于正常的商业企业来说,辛苦建立的客户信任,可以在数据泄露之后迅速消失。特别是对于个人信息非常看重的人群来讲,他们可不愿意遭受电信诈骗或广告骚扰,如果有厂商泄露了他们的个人信息,他们肯定会失望透顶。举例来讲,JD Sports 此次数据泄露事件可能对客户产生以下影响:

  • 个人信息泄露风险:客户的个人信息(如姓名、地址、电子邮件地址、电话号码)可能被黑客获取,存在个人隐私泄露的风险。
  • 财务信息泄露风险:部分客户的支付卡信息也可能受到影响,存在财务安全受损的潜在风险。
  • 身份盗用风险:泄露的信息可能被不法分子用于进行身份盗用或其他欺诈活动,给客户带来经济损失和麻烦。
  • 信任受损:客户对 JD Sports 的信任可能受到影响,影响其未来与该公司的交易和关系。

分析JD Sports 数据泄露事件的根本原因有助于类似的电商企业吸取经验教训,对于企业了解并采取措施防止今后发生类似事件非常重要。以下是几点根本原因分析:

  • 网络安全措施不足: 报告显示,JD Sports 没有采取适当的网络安全措施,如适当的加密和访问控制,导致客户数据容易被利用。
  • 缺乏员工培训: 对员工进行的有关数据安全和敏感信息处理的培训和宣传计划不足,可能是造成漏洞的原因之一。
  • 过时的系统和软件: 使用不再受支持或已针对已知漏洞打补丁的过时系统和软件,会增加数据泄露的风险。
  • 事件响应计划不足: 缺乏健全的事件响应计划和程序来检测、控制和缓解数据泄露,可能会使情况更加恶化。

从原因分析中,我们不难得出以下的经验教训:

  • 优先考虑数据安全: 各组织必须将数据安全放在首位,并实施强有力的网络安全措施,包括加密、访问控制和定期安全审计。数据已成生产力,数据的丢失或损毁必将严重影响生产力,甚至影响到企业生存。
  • 员工培训和提高认识: 定期对员工进行数据安全、敏感信息处理和潜在威胁识别方面的培训,提高他们的安全意识至关重要。人员是数据和系统的创造者和使用者,亦应当成为安全保护者。
  • 不断更新系统和软件: 定期用最新的安全补丁更新系统和软件,更换过时的技术,有助于减少漏洞,降低数据泄露的风险。
  • 制定和测试事件响应计划: 实施并定期测试事件响应计划可帮助企业更有效地检测、控制和缓解数据泄露,最大限度地减少对客户和利益相关者的影响。
  • 遵守法规: 确保遵守相关数据保护法规,如《通用数据保护条例》(GDPR)、网络安全法、数据安全法、个人信息保护法或行业特定法规,可帮助企业保持适当的安全标准,避免潜在的罚款或法律后果。
  • 第三方风险管理: 在与处理敏感数据的第三方供应商或服务提供商合作时,进行尽职调查并实施适当的安全措施至关重要。
  • 持续改进: 企业应不断审查和改进其网络安全实践,保持警惕并适应不断变化的威胁和最佳实践。

通过了解 JD Sports 数据泄露事件的根本原因并吸取教训,企业可以加强其数据安全态势,保护客户信息,并保持与利益相关者的信任。如果有企业需要这方面的帮助,特别是员工培训和意识提升,欢迎联系我们。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]

信息安全官半夜被呼醒的启示

信息安全官半夜被呼醒的情况往往是突发性紧急信息安全事故,比如遭遇“猪猪侠”这种黑客大牛将系统漏洞挖掘出来并通过媒体进行曝光,或者遭遇勒索不成恼羞成怒的骇客发起分布式拒绝服务攻击让在线业务停顿。

其实,能够引起突发性紧急信息安全事故的并不限于黑客或骇客,多数信息安全威胁都是在人们的认知范围内,除了安全事件应急响应之外,做风险评估和应对计划,业务持续性计划及灾难恢复计划时都会考虑这些。所以,出现安全事故难以完全避免,而且出现了也不会出乱子,一切尽在掌控。

可是,突发性的严重安全事故不能频频出现,否则不仅信息安全总监、经理或主管们睡不好觉,一线的业务大佬们甚至CEO和董事会主席都可能是彻夜难眠啊。

有了4G和视频通话,信息安全总监可以在被窝里指挥前线值班人员快速恢复信息系统吗?这太好笑了吧!更好笑的更刺激的更冷的是让黑客入侵了智能手机终端,偷偷拍下床头的视频并上传到互联网上……

这不是没可能,而是信息安全官带着的一批队伍的水平好过普通的入侵者,或者说安全防范措施足以应对这些安全威胁,让信息安全风险降低至可接受的水平。

这里我们不得不再次提到移动终端设备的安全,很多互联网服务在鼓励客户使用移动终端,其实我们也看到,智能手机的出货量已经开始超越个人电脑,而且我们也亲身体验到,使用平板电脑和大屏手机处理简单的业务流程操作,要比使用个人电脑要高效的多。

移动应用和移动终端设备来势汹涌,安全问题也逐渐替代PC而成为信息安全官们的梦魇,而移动终端要比PC的控管难很多,因为它们可能属于员工的资产,严格区分工作和私人用途已经非常不易,并且这些设备和用户可能随时游离于传统的工作区域和内部网络,移动用户的有效身份鉴别也挑战着传统的IAM系统,更不用说保护终端信息数据的保密不被偷窥和滥用等等。

除了移动终端之外,大数据大集中的趋势也没让信息安全官轻松,大数据,大价值,大关联,不仅仅是终端用户,更可能是客户、供应商、合作伙伴等等利益相关者。抛开隐私顾虑不说,产品流、信息流的任何一点出现严重故障都可能损及整个链条的利益和信誉。在自然,面对这些潜在的问题时,信息安全负责人轻松不下来。

信息设备和系统越来越强大和稳定,Windows蓝屏都已经很少了,PC故障排差已经不是什么IT工作了,不是么?但是IT安全的维护越来越难,为什么会这样呢?昆明亭长朗然科技有限公司企业信息安全管理顾问James Dong说:信息安全变得越来越难,主要是因为越来越多的安全事件起因于人为因素比如故意破坏或操作失误。

从外部来讲,黑客、竞争者和商业间谍的活动比以往任何时代都要猖獗;从内部来看,新世代员工们更加的开放和容易轻信他人,这内外两种因素结合起来,无疑让信息安全管理难上加难。当人为因素造成的安全事故层出不穷时,信息安全官半夜被呼醒也是常态之事了。

信息安全官想睡个好觉,解决之道何在?在技术控管层面,无疑需加强大数据——机房、服务器、应用系统、数据库以及商业流程的中央安全,以及海量终端设备的安全。在人员管理层面,无疑需要强化内部人员以及利益相关链条的信息安全意识,让内部的信息安全素养和防范水平高过外部威胁,例如,能辨识出商业诈骗电话和钓鱼邮件并采取正确的行动。

昆明亭长朗然科技有限公司各组织可依赖的信息安全意识培训合作伙伴,我们专注于帮助各类型的组织管理信息安全中关于人员的风险,欢迎联系我们洽谈业务合作。